История вторая- буквально на днях (середина октября 2014) мне позвонили с организации с просьбой решить проблему с вирусом, как вы понимаете все файлы на компьютере были зашифрованы. Вот пример того как это выглядело.
Как вы можете заметить к каждому файлу было добавлено расширение *.AES256. В каждой папке был файл "Внимание_открой-меня.txt" в котором были контакты для связи.
При попытки открыть эти файлы открывалась программа с контактами для связи с авторами вируса для оплаты расшифровки. Само собой связаться с ними я не рекомендую, и платить за код тоже, поскольку вы их только поддержите финансово и не факт что получите ключ расшифровки.
Заражение произошло при установке программы скаченной с Интернета. Самое удивительное было, то, что когда они заметили, что файлы изменились (изменились иконки и расширение файлов) то ничего не предприняли и дальше продолжали работать, а тем временем шифровальщик продолжал шифровать все файлы.
Внимание!!! Если вы заметили шифрование файлов на компьютере (изменение иконок, изменение расширения) сразу же выключайте компьютер/ ноутбук, и уже с другого устройства ищите решение (с другого компьютера/ ноутбука, телефона, планшета) или обращайтесь к IT специалистам. Чем дольше ваш компьютер/ ноутбук будет включен, тем больше файлов он зашифрует.
В общем, я уже хотел отказаться от помощи им, но решил полазить в Интернете, может уже появилось решение для этой проблемы. В результате поисков прочитал массу информации о том, что расшифровке не поддается, что нужно отправлять файлы в антивирусные компании (Касперскому, Dr Web или Nod32) - спасибо был опыт.
Наткнулся на утилиту от Касперского -RectorDecryptor. И о чудо- файлы удалось расшифровать. Ну обо все по порядку...
Первым делом необходимо остановить работу шифровальщика. Не найдетесь на антивирусы, поскольку уставленный Dr Web ничего не нашел. Первым делом я зашел в автозагрузки и отключил все автозагрузки (кроме антивируса). Перезагрузил компьютер. Затем начал смотреть, что за файлы были в автозагрузки.
Как можете заметить в поле "Команда" указано где лежит файл, особое внимание требуется удалить приложениям без подписи (Производитель -Нет данных). В общем нашел и удалил зловреда и еще не понятные для меня файлы. После этого почистил временные папки и кэши браузеров, лучше всего для этих целей воспользоваться программой CCleaner.
Еще одни способ откатить систему до возникновения проблемы.
Далее приступил к расшифровке файлов, для этого скачал программу для расшифровки RectorDecryptor. Запустил и увидел довольно аскетичный интерфейс утилиты.
Нажал "Начать проверку", указал расширение, которое было у всех измененных файлов.
И указал зашифрованный файл. В более новых версия RectorDecryptor можно просто указывать зашифрованный файл. Нажмите кнопку "Открыть".
Тада-а-а-ам!!! Произошло чудо и файл был расшифрован.
После этого утилита автоматически проверяет все файлы компьютера + файлы на подключенном сетевом диске и расшифровывает их. Процесс расшифровки может затянуться на несколько часов (зависит от количества зашифрованных файлов и быстродействия вашего компьютера).
В результате все зашифрованные файлы были успешно расшифрованы в туже директорию, где находились изначально.
Осталось удалить все файлы с расширение .AES256, это можно было сделать, поставив галочку "Удалять зашифрованные файлы после успешной расшифровки", если нажать "Изменить параметры проверки" в окне RectorDecryptor.
Но помните, что лучше эту галочку не ставить, поскольку в случае, не удачной расшифровки файлов они удаляться и для того, что бы их снова попытаться расшифровать придется для начала их восстановить.
При попытки удалить все зашифрованные файлы с помощью стандартного поиска и удаления, я наткнулся на зависания и крайне медленную работу компьютера.
Поэтому для удаления лучше всего воспользоваться командной строкой, запустите ее и пропишите del "<диск>:\*.<расширение зашифрованного файла>" /f /s. В моем случае del "d:\*.AES256" /f /s.
Не забывайте удалить файлы "Внимание_открой-меня.txt", для этого в командной строке воспользуйтесь командой del "<диск>:\*.<имя файла>" /f /s, например
del "d:\Внимание_открой-меня.txt" /f /s
Таким образом, вирус был побежден и файлы восстановлены. Хочу предупредить, что данный способ поможет не всем, все дело в том, что Каперский в этой утилите собрал все известные ключи для расшифровки (из тех файлов, которые оправляли заразившиеся вирусом) и методом перебора подбирает ключи и расшифровывает. Т.е. если ваши файлы зашифрованы вирусом с еще не известным ключом, тогда этот способ не поможет... придется отправлять зараженные файлы антивирусным компаниям -Касперскому, Dr Web или Nod32 для их расшифровки.
Если вы знаете другие способы борьбы с вирусом, шифрующим файлы просьба поделиться ими в комментарии.
Я очень надеюсь, моя статья помогла Вам! Просьба поделиться ссылкой с друзьями:
Комментарии
Значит зовёт меня юзер со словами файлы не открываются. Ну я такой раз и на тебе смотрю а расширение файлика то .725, удаляю значит .725, остаётся только - контракт.doc открываю, а там все.. кракозяблики и куча инородных китайских граффити. Что делать? Гугл не знает ничего про .725 расширение. У меня кстати целый сервачек 144 Гб таких файликов
напишите мне в вк, id174379075
Поймала как и все тут шифровщик, это просто караул. Все документы в формате :NO_MORE_RANSOM " (.no_more_ransom)
Если у кого есть ключ расшифровки, пришлите, пожалуйста, на почту В долгу не останусь.Спасиб о
2701355@mail.ru
Я связалась с этими "не людями", они у нас запросили 28000, Мы не стали им платить, оставили все документы, файлы, дом момента когда появится дешефратор, потому что оплачивая этим "нелюдям" деньги, у них будут средства на жизнь.
Приходится по капельки все документы восстанавливать , ((((((((Руки и ноги бы им оторвать!!!
26 гига фото и видео сегодня хотел удалить.
НООООО. Нашёёёёёёл.
Касперский Rakhni
https://noransom.kaspersky.com/
УУУУрааа.
Всем удачи не теряйте надежду!
папа умер 2 года назад
на винчестере у меня было его видео
фотки и тут бам шифровальщик
что делать ????????????
у меня программа есть и не одна !!!!!!
но мне не справится с падбором паролей
Может кто-то сталкивался?
Может кто поможет советом??
Скачивайте разного рода дешефраторы:
RannohDecryptor.exe
rectordecryptor.exe
xoristdecryptor.exe
пробуйте. Возможно вам повезёт. Энкодеры бывают разные, слабые и сильные, есть ещё и непобедимые. 567-ой например.
Не знаете, так молчали бы, умник.
Я расшифровывал тоже, при помощи утилиты касперского, которую мне скинули на почту. В низу текст того письма с утилитой.
-------- Пересылаемое сообщение --------
От кого: newvirus@kaspersky.com
Кому: Kaspersky Lab Support
Дата: Четверг, 28 января 2016, 20:20 +03:00
Тема: RE: [VirLabSRF][Und etected malware sample][M:1][LN :RU][L:1][INC00 0005706705] [KLAN-3668918425]
Здравствуйте,
Воспользуйтесь данной утилитой для расшифровки файлов:
ftp://decrypt_tools_ro:7p2oUzGEzmU@data14.kaspersky-labs.com/ShadeDecryptor/1.0.0.108/ShadeDecryptor.rar
С уважением, Фёдор Синицын
Вирусный аналитик
Угу... Вот терпеть не могу вот таких самоуверенных. Вам письмо от двух компания показать(Каспер ский, Dr.Web)? Что Encoder 567 - непобедим. И что выхода два - смериться с потерей файлов навсегда или отдавать 20 000 - 30 000 тыс. рублей.
Эти гинды даже ООО и ИП зарегистрировал и по расшифровке.
Первые рекламные ссылки в Yandex.Директе.
Вам рассказать, как этот Кейс работает?
Это Россия, дружок. Здесь этим гнидам можно делать всё что угодно и управы на них нет!
Хороший шифратор сделали что сами военные не могут расшифровать
Потому и дорого берут Может кто-то круче окажется и расшифрует
Брехня, никто ещё не смог расшифровать
С момента появления зашифровки на моем компе прошло около года. А rectordecryptor так и не имеет в своем арсенале нужного скрипта. Но если хочешь помощи ты её получишь, но только сперва приобрети продукты Касперского или Данилова!
Всё чаще меня посещает мысль, что это обыкновенный сговор этих 2-х крупных компаний для покупки своего софта.
вот так
и появились документы Readme
"Чтобы расшифровать ваши файлы свяжитесь decoderdavinchi@yandex.ru
стоимость ключа 4000 рублей
Кто сталкивался? как решали? Не хочется платить, просто компьютер рабочий
И как его наказали? И как он восстанавливал работоспособнос ть файлов?
Добрый день. Не смогли расшифровать? Аналогичная проблема
Выелю дефшифратоp
какой ключ, или версия криптографа?
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
3B50DC2B358E9E7A9B45|0
на электронный адрес decode00001@gmail.com или decode00002@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Текст последнего:
Здравствуйте! На вас подана жалоба. Согласно договору, подписанному между нами инциденты, подобные этому могут стать причиной введения штрафных санкций которые усложнят вашу работу. В ваших интересах прочитать текст жалобы в прикрепленном к этому письму документе и объяснить ситуацию."
И ссылка. Предполагаю, что там вирус. Ни в коем случае не открывайте такую ссылку!
сейчас расшифровке поддаётся шифровальщик с расширением .xtbl, вероятность расшифровки от 95 до 100%. необходим файл readme.txt, без него уже сложнее.
шифровальщик .breaking_bad, усовершенствова нный вариант .xtbl, появился в октябре прошлого года. сейчас поддаётся расшифровке примерно на 80%. опять же необходим файл readme.txt
шифровальщик .better_call_sa ul, появился в начале февраля прошлого года. всё от того же деятеля, но уже версия 3. на данный момент не известно ни одного случая успешной расшифровки без оплаты вымогателю.
естественно, это далеко не полный список, а самые популярные. не надо тут писать, пришлите дешифратор. одного для всех нет и не будет. можете скинуть мне зашифрованные файлы на адрес egor2145@mail.ru, желательно если сохранили сам вирус. тогда уже смогу точнее сказать, возможна ли расшифровка в вашем случае.
А я обратился к Касперскому сказали сначала купи лицензию. Купил у них лицензию сказали что не могут расшифровать положите файлы до лучших времен. И мониторьте наш сайт с утилитами программ.
От себя добавлю: пароль для каждого компьютера формируется действительно оригинальный, но по алгоритму, заложенному в шифровальщике. Поэтому, когда создателя или одного из Ваших коллег-выгодоприобрета телей возьмут как следует за яйца, то алгоритм формирования пароля будет раскрыт, а потому можно будет сделать универсальный дешифровальщик, для которого будет требоваться лишь файл readme.txt и сам компьютер, на котором произошло заражение. Так что не надо гнать пургу, что универсального дешифратора не может быть. Будет!
Прислала вирус Соня Арасланова с адреса
Потом еще 2 дня приходили аналогичные письма, но я их уже не открывал.
Во вложении были "образцы документов". Вирус начал работать,
он просился в автозагрузку, я не разрешил, но и не перезагрузил, в результате зашифрованы самые разные файлы Excel, 1С , фотки - добавилось расширение better_call_saul
В корне - файлы README1.txt ... README10.txt с текстом:
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
6238A318DB5B30E824D9|439|3|8
на электронный адрес decode77777@gmail.com .
Образцы моих зашифрованных файлов (Пароль virus) и сам вирус тут
https://dl.dropboxusercontent.com/u/56133024/%D0%92%D0%98%D0%A0%D0%A3%D0%A1_better_call_saul%2B5%D0%A4%D0%B0%D0%B9%D0%BB%D0%BE%D0%B2_%D0%9F%D0%B0%D1%80%D0%BE%D0%BB%D1%8C_virus%20.rar
Прошу помочь мне в расшифровке моих файлов. Спасибо.
как востановить фото+видео
Правда для каждого случая, выслали отдельный дешифратор.
Могу скинуть на почту, если вам нужно.
dmitrypiatkin@mail.ru
Ser. Bel.Ser@inbox.ru
Спасибо.
Если не отвечают, кто помог, то, скорее всего, это просто деза чтобы выманить у Вас деньги.
email-bekameka777@aol.com.ver-CL 1.0.0.0.id-LNNN PPQRRRSTUUVWWWX XYZAAABBCDDEEFF GH-24.02.2016 3@08@527119646.randomname-ZCDEGGHIJKLLLMNOPPQQRSTUUUVWXY.YZZ, Касперский и dr web не помогли, пожалуйста помогите, фотки жалко, да и не только, детские фотки все там, да и 6 лет нашей жизни во всех этих фото!
моя почта lucifest@mail.ru . Заранее большое спасибо!
Ссылка: https://yadi.sk/d/uJ6OW83bp9w4m .
ЗЫ. Один не знающий ляпнул, остальные как стадо повторяют.
вчера поймал шифровальщика better_call_soul.
На компе была моя почти готовая докторская диссертация - результат моей 5-ти летней работы...Защита через 5 недель! ((((
Помогите восстановить?! Кто чем может?
В долгу не останусь!!!
dkerner@mail.ru
Поймал такой вирус, кто может помочь, почта monolitvlg@rambler.ru
dokers116@mail.ru
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
4E935FFBA15E9E37695C|0
на электронный адрес files2549@gmail.com .
может кто поможет?
warriorkat@mail.ru
Есть у кого-нибудь дешифратор для формата breaking bad? Скиньте пожалуйста на почту - vitiok84@mail.ru
Спасибо!
конечно, может и не поможет, но нужно попробовать!
вышлите, пожалуйста, на мыло angel_rastaman@list.ru
Заранее Благодарен!
email-anton_ivanov34@aol.com.ver-CL 1.2.0.0.id-OKLD XQDRJXLZFTHVBPU HXLQDKYMZGUYLCQ UH-12.01.2016 9@10@307681958.randomname-HJNQBOXXEXMCNDVNWLBBEFWLWFMBMB.MPX.cbf
Есть ли у кого решение? Утилиты KAV, drWEB, пробовал, не помогает. Напишите на почту , кто знает, что можно сделать. Спасибо.
Есть у кого-нибудь дешифратор для формата breaking bad? Скиньте пожалуйста на почту - bavean@mail.ru/
Спасибо!
А мейкеры шифровальщиков пусть в очко себе шифраторы затолкают. Не думайте платить им. Купите лучше лицензию на Каспера и вам помогут. В разы дешевле обойдется + ключ на год. Не жопьтесь, если данные действительно того стоят. Всем удачи!
.breaking_bad
А можно мне тоже на почту скинуть дешифратор для breaking bad. А вдруг подойдет...Спас ибо
Они пришлют утилиту для вас. Мне помогли.
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
98F6E5EF93169F62BF51|0
на электронный адрес files000001@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
скиньте дешифратор пожалуйста на почту leha_pohabov@mail.ru в долгу не останусь.
.
Такая же проблема, как и у остальных:
(Ваши файлы были зашифрованы в форматXTBL.
Чтобы расшифровать их, Вам необходимо отправить код:
360D93CC4D25917AB113|179|2|2
на электронный адрес decode0987@gmail.com или decode098@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
360D93CC4D25917AB113|179|2|2
to e-mail address decode0987@gmail.com or decode098@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.)
Помогите пожалуйста с этой проблемой. Всё в формате xtbl.
Мой электронный адрес: Abramov-semen@yandex.ru
Помогите пожалуйста
Я отправлял через личный кабинет для корпоративных клиентов, там не помогли.
Сейчас попробовал как раз через My kaspersky
Через форум или как? Можно ссылочку и так далее=)
Привет! Не поделишься дешифратором? Буду благодарен по гроб жизни!
У меня нет Каспера... а вдруг твой подойдет, дай хоть попробовать, хороший человек! отблагодарю. Вот моё мыльце: iva-nov@yandex.ru
и мне.. с меня 2 магара:) попробовать надо расшифровать, а вдруг..:) спасибо! nobel_lida@rambler.ru
если у кого есть дешифратор пришлите на почту мою sbs11@bk.ru. Заранее. спасибо
Так зашифрованы мои файлы. Перепробовал всё.... И Касперского и Веба. Вот как ответили в тех поддержке вирусинфо, на вопрос о шансах на расшифровку и стоит ли хранить файлы.
Если есть возможность, то храните. В лучшем случае через полгода может что-то появится, и то при желании DrWeb, Kaspersky Lab ломать несколько RSA ключей по 2048 бит.
Вот так. Самый долбанутый шифровальщик оказался...сука ...
Долго ждали ответ от техподдержки ЛК ?
Помогите поймал вирус зашифровали файлы
Как можно это устранить?
Readme.txt
Вот что он мне пишет мне
Я так же влетел на это Вирус как писал уже ранее,Я так понимаю что это один новый щас,так как у всех расщирение начинается с "F"и далее разные цифры.
Если кто знает как решить проблему очень прошу отписаться тут!
Честь и слава тому кто решит проблему!!!!
ID: fb79c7c6
HashID: 942ce715c37677b 2b290a6b4e5a092 41
Вот эта запись HashID: 942ce715c37677b 2b290a6b4e5a092 41 не является ключем ?
Как бороться с этим злом
За ранее благодарю кто откликнется.
А вообще, если есть лицензия, касперский поможет.
В декабря поймали криптовирус, тогда нам не помогли почему то, а тут 27 числа поймали ещё один, в итоге я им выслал вирус, а они мне дешифратор, файлы расшифровались, но на декабрьском компе, этот дешифратор не помог. Но я обратился опять по первому вопросу и течении часов 10, выслали на почту второй дешифратор, которой помог на первом компе, но файлы со второго компа расшифровать не смог.
Например "All Hail Shadow.txt.fa7a 8d00" Искал в интернете, ничего подобного нет...
.breaking_bad
Ну-как ну-ка разгодай)))
--------
Доброго времени суток! Скажите, пожалуйста, получилось расшифровать файлы с расширением breaking_bad?
тоже самое словили, у кого-нибудь получилось расшифровать?
Все файлы с таким именем IMAG0306.jpg.f87b7f24
Помогите плииизззз!!!!
Гореть в гиене огненной тем кто написал этот вирус....Твари! !!!
Пока что ни один из способов не помог....хз что делать!!!
Ниииидхэлп!!!!!!!
.
возможно, у меня с раширением *.FIN были
Ознакомился со всеми историями описанными ниже, попробовал все что предложено, ничего не помогло. Деньги засылать этим негодяям не хочу.
кто что подскажет?
текст файла README1
{Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
05DE51B97AFB7C0B0B80|0
на электронный адрес files0000002@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.}
Здравствуйте.
Зашифровано одним из вариантов Trojan.Encoder. 858. Расшифровка невозможна.
Рекомендация: обратитесь с заявлением в территориальное управление "К" МВД РФ;
Ни сам троян, ни даже чужой расшифровщик не поможет.
Вероятность расшифровки равна нулю. Алгоритм шифрования RSA. Разве что удастся получить каким-то образом приватный ключ...Но ожидать\ждать этого не стоит. То есть случаи были такие, но единичные, к сожалению.
С уважением,
служба технической поддержки компании "Доктор Веб".
Так же читал форумы других антивирусов по этому шифровальщику. Выяснилось, что решений НЕТ!
Сочувствую тем, кто оказался в данной ситуации.
Вам необходимо ожидать очередного обновления утилит в разделе http://support.kaspersky.ru/viruses/utility
Возможно в будущем появится утилита для расшифровки.
К сожалению, это всё, что мы можем сделать. Надеемся на ваше понимание. (Сохраняем файлы и на полочку до следующего года)
если у кого есть дешифратор пришлите на почту мою ----djdoka30@mail.ru
При открытии файла scr. Были изменены-зашифр ованы многие файлы с разными расширениями. Теперь все эти файлы называются примерно так:
email-iizomer@aol.com.ver-CL 1.2.0.0.id-VAFJ OSXBGKPTXCGKPTY CGLPTXCGKOTXBFK OS-01.02.2016 3@05@29138642.randomname-WCGLQVZDHMQVZDHLPSWBFJOSWBFJNS.XBF.cbf
К сожалению, в силу специфики используемого вирусом механизма шифрования (используется алгоритм шифрования AES-256 + RSA шифрование) расшифровка на данный момент не представляется возможной. Вот так вот
kovalyvalev@mail.ru
У тебя остался фаил который тебе пришел???
Нет. Это не у меня было. человек в испуге удалил письмо с почты ) Файл был с расширением .scr Вроде нашли лицензию касперского, ссылаясь на неё отправил им зашифрованные файлы, жду
Надеюсь Вам удалось расшифровать файлы . Если не сложно пришлите дешифратор , пожалуйста.
фаил устался который тебе пришел???
съёмний диск там у меня инфы на 500 гигов но самое дорогое что там есть это видео папина память, недавно умер , можно как видео востановить , там около 20 видео , а остальное я потом отфарматирую
Написали, что расшифровать не могут, как смогут, так ответят...
Лена85, кто вам прислал дешифратор? Напишите, к кому обратиться?
пришлите мне пожалуйста тоже дешифратор
Подскажите, пожалуйста, к кому обратиться за дешифратором мой ящик kovalyvalev@mail.ru
Можете скинуть дешифратор на qas@rbcmail.ru
Спасибо.
zL7Dlr0OwHoovo4EgyUAW7TOpQ==.sapril2015@126.com_L08oGJ
вот такие у меня теперь файлы. Несколько дней не понимала в чем дело - перформатировал все...
У меня вопрос - если я захожу с другого компьютера в облачное хранилище, где эти файлы, если я скачиваю такой файл - вирус распространяется?
И кто мне подскажет - это возможно расшифровать???
спасибо вам.
Воспользовалась советом и написала Касперскому. Прислали дешифратор. Расшифровалось не все, но процентов 90 восстановлено. =)
Я не знаю действительно ли в каждом отдельном случае пишется новый дешифратор (в зависимости от кода шифровальщика), или он подходит всем.
Выкладываю то, что мне прислали.
https://yadi.sk/d/-9ofjLS3k7ZCP
Если кто то воспользуется, отпишитесь, интересно универсален ли дешифровщик.
Текст письма:
Здравствуйте!
Дайте пожалуйста дешифратор для xtbl файлов.
Код из файла README1:
D43E42947D2345A F8650|0
Закодированные файлы в вложении.
Заранее Спасибо!
Наталья
(и приложила 3 закодированных файла)
А как долго ждать ответ? Вчера написала, но пока не ответили.
съёмний диск там у меня инфы на 500 гигов но самое дорогое что там есть это видео папина память, недавно умер , можно как видео востановить , там около 20 видео , а остальное я потом отфарматирую
съёмний диск там у меня инфы на 500 гигов но самое дорогое что там есть это видео папина память, недавно умер , можно как видео востановить , там около 20 видео , а остальное я потом отфарматирую
Здравствуйте,
Файлы зашифрованы Trojan-Ransom.Win32.Shade
Воспользуйтесь данной утилитой для расшифровки файлов:
ftp://decrypt_tools_ro:7p2oUzGEzmU@data14.kaspersky-labs.com/ShadeDecryptor/1.0.
0.38/ShadeDecryptor.zip
Обратите внимание, что перед обработкой зашифрованных файлов необходимо сохранить их резервную копию.
С уважением, антивирусная лаборатория
125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru
Все РАСШИФРОВАЛ!!!
есть решение есть
у меня получилось может из за того что я учился на программиста
а у кого руки из жопы ну извените .
Системные требования:Wind ows, поражённая вирусом-блокировщиком
Описание: Загрузочный диск AntiSMS предназначен для автоматического лечения программ-вымога телей, блокировщиков и троянов Trojan. Winlock, которые блокируют ОС Windows, требуя от пользователя отправки СМС для разблокировки системы. Позволяет даже неопытным пользователям разблокировать Windows в случае заражения системы блокировщиками (программы-вымо гатели, рекламные и порно-баннеры) или троянами Trojan.Winlock. При запуске компьютера с загрузочного диска программа AntiSMS автоматически выполняет все необходимые действия для лечения зараженной системы. В ручном режиме доступен Редактор реестра Windows.
Если вы опытный пользователь:
После запуска AntiSMS и перезагрузки в рабочую систему выполните быструю проверку антивирусом.
Запустите msconfig и визуально проверьте элементы автозагрузки и служб, при необходимости включите те из них, которые безопасны, но были отключены из-за отсутствия цифровой подписи.
Если вы неопытный пользователь:
Скачайте образ загрузочного диска и запишите его на диск или флешку.
Загрузитесь с этого диска и запустите значок AntiSMS на рабочем столе.
Перезагрузитесь в рабочую систему и выполните быструю проверку антивирусом.
Нажмите Пуск -> Выполнить -> msconfig -> Обычный запуск -> ОК. Этим вы включите всю автозагрузку обратно, но уже без троянов. Если после перезагрузки снова возникают проблемы, значит антивирус пока не определяет этот троян; в таком случае запустите AntiSMS повторно и не выполняйте этот пункт.
Если интернет после вируса не работает - запустите AntiSMS в рабочей системе и выполните сброс настроек сети.
Если расширение файлов стало *.xtbl то может помочь.
А вдруг что...
С этой гадостью впервые столкнулся в мае 2015. Перепробовал все утилиты Касперского (не только здесь описанную). Ничего не помогло, поскольку в них содержатся пароли на уже старые вирусы, на новые навряд ли что найдете...
В итоге пришлось 2 дня убить на восстановление нужных файлов.
Сегодня сотрудница опять подхватила такую же х... заразу. Я чуть всю мебель не переломал!
Сижу теперь ковыряю, чтобы с утра можно было работать.
В общем лечение такое:
1. Остановить работу вируса. Я его не смог найти ни в процессах, ни в автозагрузке. Помогло восстановление системы до точки, предшествующей получению письма с вирусом (или предполагаемого времени/даты заражения).
Понять, что работа шифровальщика остановлена можно по возвращению нормальной скорости отзыва компьютера (с шифровальщиком подтормаживает) , а также по отсутствию новых зашифрованных файлов (обычно он шифрует все папки и файлы по очереди; ищите папку, где еще остались нормальные файлы и проверяете не появляются ли новые зашифрованные) Конечно же стоит проверить процессы и убить любой подозрительный, особенно неопознанный.
2. Восстанавливает е прежнюю версию файлов/папок, но не с помощью стандартных средств Виндоуз, а с помощью сторонней программы. Я пользую ShadowExplorer, версия 0.9. (ссылку не помню, гугл в помощь). Выбираете дату и время, предшествующие заражению, нужный файл или целую папку, тыкаете правой кнопкой и нажимаете "Экспорт". Указываете куда сохранить. Можно в старую же локацию. Потом удаляете весь шлак, как описано в данной статье. Всё.
В первый раз все сработало отлично, надеюсь и сейчас поможет
Молод ты, али стар, добрый молодец, женат, али свободен, но... будешь а у нас в Нижневартовске, я тебя поцелую!))
http://ska4ay.com/-2sw
зачем троян людям впаривать https://www.virustotal.com/ru/file/e1cdd342e47176fb453a9a670fd995a9db4916b0e5950be6a5879d71c8234e2c/analysis/1438757331/
только женщинам и девушкам !!!!!!!!!!!!!!! !!
почта
#####@rambler.r u
Развод Галимый. Что мешает в архив прогу сунуть. Это раз. Во-вторых: подобрать приват-ключ состоящий из 2430 символов... :))) Не смешите
я чё обязан всемммммммммммммммм
да??????????????
Думаю должно получится!
Ваши документы и базы данных были зашифрованы и помещены в
☢ формат .VAULT ☢ . Прошу Всех кто может Помогите!
Всем попавшим, сочувствую.
Если шифрование произведено одной программой, то и для расшифровки тоже можно создать одну универсальную программу, которая будет восстанавливать пароль по тому же закону, что он был создан. Если пароль известен, то расшифровать файл не проблема.
http://media.kaspersky.com/utilities/VirusUtilities/RU/rannohdecryptor.zip
http://media.kaspersky.com/utilities/VirusUtilities/RU/ScatterDecryptor.zip
http://media.kaspersky.com/utilities/VirusUtilities/RU/ScraperDecryptor.zip
http://media.kaspersky.com/utilities/VirusUtilities/RU/rectordecryptor.zip
http://media.kaspersky.com/utilities/VirusUtilities/RU/xoristdecryptor.zip
Даю 80% того что вирус был скачан вами случайно под как написано у автора в этой статье. И запущен...
20% на то что закачка этого вируса была инициирована без вашего ведома эксплойтом из серии 0-day под ваш браузер. (но чтоб она началась нужно так же посетить сомнительный сайт)
В общем пока что нужно понять алгоритм работы вируса, пока у меня нет сомнений что в данном случае задействована база данных как минимум , где злоумышленник должен хранить идентификаторы и ключи от заражённых компов и файлов. (хотя в качестве такой базы он может тупо использовать и свой email)
что делать? на компе файлы для работы, нужно восстановить!!!
дата и адрес здесь в открытке..... https://yadi.sk/d/L6N-G03sijDw2
вот такое письмо мне пришло где ссылка ан троянский вирус шифровальщик
То же самое :с
Вот пара советов
Что делать не надо!:
1. Пытаться восстановить данные самостоятельно (программы для восстановления удаленных файлов, декрипторы которые вы найдете в интернете и прочее)
2. Переустанавлива ть операционную систему
3. Пытаться изменить расширение файлов (пример: с .vault на .doc)
4. Запускать программы «ускорители компьютеров», программы для чистки реестра, программы для удаления истории пользовательски х данных и прочие. Нельзя так же очищать папки %temp%, очищать куки браузера и т.д..
Что можно сделать:
1. Сделайте копии всех зашифрованных файлов на внешний жесткий диск.
2. Если у вас лицензионный антивирус, вы можете прислать копию зашифрованного файла в антивирусную компанию с просьбой о помощи
3. Если информация для вас очень важна и нужна срочно, в принципе вы можете связаться со злоумышленникам и, попросить у них расшифровать несколько файлов для проверки, чтобы убедиться что они "честные мошенники" и у них действительно есть ключ для расшифровки.
4. Вы можете прислать копию зашифрованного файла и письмо с требованиями мне, у меня есть лицензии на антивирусы крупнейших компаний, я могу отправить им ваши файлы от себя, и, возможно, они напишут нужный декриптор.
Как защититься в будущем:
Увы, вначале появляется вирус, а уже потом антивирус добавляет его сигнатуру в свою базу, потому надеяться не антивирусы бесполезно.
На мой взгляд самым действенным решением является настройка политики ограничения запуска программ. Это встроенный в windows механизм защиты, который позволит вам настроить список ваших доверенных программ, а все остальное, включая вирусы попросту не запустится!
Если у вас возникли какие-то вопросы, обращайтесь пожалуйста!
manusmaster@gmail.com
скайп: www.andre20
Ты как то интригующе написал, даже без намека как это сделать, такое чувство, что бабла решил заработать с пострадавших от вируса.
Помогите ,плиз ,расшифровать 1с с расширением xtbl
ПОМОГИТЕ!!!!
Кто-нибудь что-нибудь нашёл оп расшифровке VAULT?
Может уже что-то изменилось? Может уже придумали дешифратор?
Нельзя сканировать компьютер антивирусом когда ваши файлы зашифровал вирус шифровальщик, так как он удалит исходник вируса с помощью которого лаборатория касперского сможет расшифровать ваши файлы
Вот такой вид файлов стал после тыка в рекламку... тело шифровщика село в автозагрузке было от туда поспешно удалено с компа... файл назывался svchost и картинка которая становилась обоями раб. стола... ценник 200 баксов... заблочил все фотки картинки весь офис рарные и зип архивы... сижу проверяю этой прогой что получится незнаю...
Вырезка результата из данной проги... настораживает что сканирует чисто по одному типу шифровщика... скорей всего надо пробовать разные...
Выясняю зачем шифруют
Предлагаемые Вами утилиты от Касперского файлы находят, но не расшифровывают. Подскажите, можно ли расшифровать их?
Если есть мастер который сможет расшифровать звоните 89174254200 уфа
Предлагаемые Вами утилиты от Касперского файлы находят, но не расшифровывают. Подскажите, можно ли расшифровать их?
Запустил доктор веб ни чего не нашёл!
Касперский выявил программу шпиона и всё отправил в карантин.
Я в свою очередь удалил всё, теперь проверяю различными утилитами ни чего не выходит. Подскажите что делать файлы все в формате VAULT!!!
Если кто то до меня узнает чем можно расшифровать файлы с расширением VAULT просьба поделиться. С меня причитается
Запустил доктор веб ни чего не нашёл!
Касперский выявил программу шпиона и всё отправил в карантин.
Я в свою очередь удалил всё, теперь проверяю различными утилитами ни чего не выходит. Подскажите что делать файлы все в формате VAULT!!!
отправили файлы в dr web (при отправки указали лицовый ключ - требует Security Space) они через 10-15 минут выслали утилиту
все расшифровали..
Примеры от Касперского:
https://support.kaspersky.ru/viruses/disinfection/11718#block2
https://support.kaspersky.ru/viruses/disinfection/10556
Не платите злоумышленникам , не поощряйте их.